Подача в суд на работодателя за использование личных данных работника

Защита персональных данных работника. Ответственность за несоблюдение норм обработки и незаконное распространение

Подача в суд на работодателя за использование личных данных работника

В последнее время участились случаи неправомерного распространения персональных данных работников, это связано с непониманием служащих, которые имеют доступ к таким данным серьезности ситуации.

Но, как известно незнание закона не освобождает от ответственности, поэтому очень важно понимать и осознавать важность конфиденциальности персональных данных.

Российское государство защищает информацию о своих гражданах.

Когда гражданин устраивается на работу, он предоставляет работодателю персональную информацию о себе, надеясь при этом, что данные не будут использованы для иных целей, нежели оформление, персонифицирование и сдача отчетности.

Что же такое персональная информация и почему законодательство наложило запрет на распространение таких данных?

К частной информации работника относятся:

  1. ФИО, документы подтверждающие личность.
  2. Возраст, пол, анатомические характеристики и биометрические данные.
  3. Сведения о квалификации, образовании, наличии разряда, прохождение стажировки или курсов и др.
  4. Сведения о сексуальной ориентации и состоянии здоровья.
  5. Расовая, национальная и этническая принадлежность.
  6. Место жительства.
  7. Сведения об увлечениях, привычках, в том числе и вредных, таких как наркотики, алкоголь, курение и т.д.
  8. Размер заработка, место предыдущей работы, судимость, пребывание на выборных должностях, служба в армии. (Все, что качается фактов личной жизни предшествовавших приему на работу).
  9. Политические и религиозные убеждения.
  10. Особенности общения и взаимоотношений с другими людьми. (Наличие детей, семейное положение, родственные связи и т.д.).
  11. Финансовое положение.
  12. Сведения о личных и деловых качествах, которые носят оценочный характер.

Приведенный выше список персональной информации определен ст. 3 Федерального закона от 27. 07. 2006 года за № 152-ФЗ «О персональных данных».

Персональные данные относятся к частной жизни гражданина, которая является конституционным правом каждого. Помимо этого существует Указ Президента РФ от 6.03.1997 г. за № 188, в котором сказано, что персональные сведения носят конфиденциальный характер, а значит должны оставаться не доступными для общественности.

Защите персональных данных работника в Трудовом Кодексе посвящена целая глава. В ней имеются пояснения о понятии персональных сведений, их обработке, получении, хранении и использовании, передаче, правах работника на защиту персональных данных и последствиях для работодателя за нарушение норм обработки и защиты.

И так, мы уже выяснили, что частные сведения – это информация необходимая работодателю для оформления и ведения трудовых отношений с работником. Получение, передача, хранение и любое другое использование персональных данных работника называется обработкой ( ст. 85 ТК РФ).

Обработка персональной информации работника подразумевает соблюдение определенных правил. Целью соблюдения правил является обеспечение прав и свобод гражданина и человека. Выполнять требования по обработке должны работодатель и его представитель, выполняющий эти обязанности.

Требования к обработке персональных данных:

  1. Персональные данные работника обрабатываются только в целях обеспечения нормативно правовых актов и соблюдения законов, содействия работникам в трудоустройстве, продвижении по службе, обучении, обеспечении контроля качества и количества выполняемой работы, а так же в целях обеспечения личной безопасности работника и сохранности имущества.
  2. Определяя содержание и объем, обрабатываемых персональных сведений работника, работодатель обязан руководствоваться Федеральными Законами, Трудовым Кодексом и Конституцией РФ.
  3. Получение личных данных работника возможно только у него самого. В случае невозможности данного действия, получение личных сведений у третьей стороны осуществляется только после письменного согласия работника.
  4. Не подлежат получению и обработке работодателем персональные данные работника, которые касаются его религиозных, политических и других убеждений, а так же данные о частной жизни. В некоторых случаях данные о частной жизни работника могут быть получены работодателем с письменного согласия работника.
  5. Персональные данные о членстве работника в объединениях и профсоюзах, так же не подлежат обработке.
  6. Не возможным является принятие решений, которые затрагивают интересы работника, на основании автоматизированной обработки или в случае их электронного получения.
  7. Защита персональных данных работника обеспечивается за счет работодателя.
  8. Представители работника, как и он сам должны быть ознакомлены с порядком обработки личной информации, который установлен у работодателя. Ознакомление производится под роспись.
  9. Работник не должен отказываться от своих прав на защиту и сохранение тайны личной информации.
  10. Работники и работодатель обязаны совместно вырабатывать способы защиты персональных данных.

Согласно ст. 88 ТК РФ работодатель по отношению к личным сведениям работника имеет обязанности.

Работодатель не имеет права:

  • сообщать персональные данные работника третьей стороне без письменного согласия работника;
  • запрашивать информацию о состоянии здоровья работника, если это не касается выполнения работы;
  • сообщать персональные данные работника в коммерческих целях без письменного согласия.

Работодатель обязан:

  • предупреждать лиц, занимающихся обработкой личной информации работника о необходимости соблюдения порядка конфиденциальности;
  • разрешать доступ к личным сведениям работника, лицам, непосредственно уполномоченным для выполнения работы с этими данными;
  • передавать персональные данные в пределах одной организации, руководствуясь локальным нормативным актом.

За соблюдение прав работника, имеющих цель защиты его персональных данных, которые хранятся у работодателя, отвечает ст. 89 ТК РФ. Согласно данной статье Трудового Кодекса, работник имеет право на:

  • получение полной информации о хранении и обработке своей личной информации;
  • бесплатный доступ к своим личным сведениям;
  • определение своих представителей уполномоченных защищать персональные данные;
  • изменение и исключение неполных или недостоверных персональных данных;
  • обжалование в суде любых неправомерных действий работодателя связанных с защитой и обработкой персональных данных.

За нарушение норм, регулирующих защиту и обработку данных, предусмотрено наказание в виде материальной, дисциплинарной, административной, гражданско-правовой и уголовной ответственности.

Кто будет наказан?

В первую очередь ответственность за распространение личной информации работника несут: отдел кадров, руководитель и лица, которые занимаются обработкой таких данных, в соответствии со своими должностными инструкциями. В случае распространения персональных данных руководитель предприятия на основании ст. 192 ТК РФ может применить к работнику виновному в случившемся такие санкции, как замечание, выговор и даже увольнение.

За сбор и распространение сведений о частной жизни лица, коим является работник, Уголовный Кодекс, а именно, ст. 137 предусматривает наказание:

  • штраф до 200 тыс. руб.;
  • штраф в размере заработной платы или другого дохода обвиняемого за период до 18 месяцев;
  • обязательные работы на срок 120-180 часов;
  • исправительные работы на срок до 1 года;
  • арест на срок до 4 месяцев.

Использование служебного положения обвиняемым в сборе и распространении персональных данных карается:

  • штрафом 100-300 тыс. руб.;
  • штрафом в размере зарплаты или другого дохода на срок 1-2 года;
  • арестом на срок 4-6 месяцев;
  • лишением права занимать должности определенного ранга и возможности занимать определенные должности на срок 2-5 лет.

Наказание предусмотрено и для лица, которое исполняя свои обязанности, получило доступ к частной информации работника и разгласило ее. Данное наказание предусмотрено ст. 13.14 КоАП РФ и равняется 40-50 МРОТ.

Привлекаются к административной и уголовной ответственности руководители предприятий и организаций, а так же руководители подразделений виновные в разглашении частной информации работника. Виновным в разглашении признается лицо давшее распоряжение о распространении персональных данных или исполнившее его само.

Защита прав работника заключается в составление иска и дальнейшая его подача в суд. В соответствии с законом о нарушении конституционных прав работника, он так же может потребовать возмещение морального ущерба. Обратиться в суд за решением трудового спора работник может в трех месячный срок с момента, когда он узнал или мог узнать о нарушении своих прав.

Чаще всего судебные споры о разглашении персональных данных заканчиваются принятием решения в пользу работника, а помощь адвоката повышает шансы на выигрыш дела. Доказывать нарушение законодательства придется самому работника, поэтому помощь адвоката лишней не будет.

Если вы заинтересованы тематикой трудового права, советуем прочесть также “особенности труда несовершеннолетних”.

С уважением,
Виктория Демидова, адвокат.

Источник: http://www.legalneed.ru/info/trudovoe_pravo/zashita_personalnih_dannih_rabotnika/

Персональные данные: что грозит за нарушение закона

Подача в суд на работодателя за использование личных данных работника

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Статья 88. Передача персональных данных работника | ГАРАНТ

Подача в суд на работодателя за использование личных данных работника

Статья 88. Передача персональных данных работника

1. В комментируемой статье определены основные требования, предъявляемые к работодателю при передаче персональных данных работника как в пределах организации (специально уполномоченным лицам, представителям работника), так и вовне.

2. Законом установлено общее правило – передача персональных данных работника возможна только с его письменного согласия.

Исключение из общего правила составляют два случая:

1) когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;

2) когда это установлено ТК и иными федеральными законами.

https://www.youtube.com/watch?v=8OvRLjjj2Y0

Таким образом, к компетенции работодателя относится вопрос оценки ситуации как угрожающей жизни и здоровью работника. Например, на основании положений ст. 228 ТК работодатель обязан при несчастном случае на производстве:

– доставить пострадавшего в медицинскую организацию, если это необходимо;

– немедленно проинформировать органы и организации, указанные в ТК, других федеральных законах и иных нормативных правовых актах РФ, а также родственников пострадавшего при тяжелом несчастном случае или несчастном случае со смертельным исходом.

3. Согласно ст. 9 Федерального закона “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования” работодатель (страхователь) представляет в соответствующий орган Пенсионного фонда РФ сведения о работающих у него застрахованных лицах в следующих случаях:

– при начальной регистрации застрахованных лиц для индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;

– при приеме на работу граждан, не имевших до этого страхового стажа и страхового свидетельства обязательного пенсионного страхования или при заключении с ними договоров гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы;

– при ликвидации, реорганизации юридического лица, прекращении физическим лицом деятельности в качестве индивидуального предпринимателя, снятии с регистрационного учета в качестве страхователя – работодателя адвоката, нотариуса, занимающегося частной практикой;

– при утрате работающим у него застрахованным лицом страхового свидетельства обязательного пенсионного страхования;

– при изменении передаваемых сведений о работающих у него застрахованных лицах.

4. На основании ст. 11 Федерального закона “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования” работодатель представляет в органы Пенсионного фонда РФ сведения об уплачиваемых страховых взносах на основании данных бухгалтерского учета, а сведения о страховом стаже – на основании приказов и других документов по учету кадров.

Работодатель (страхователь) ежеквартально до 1-го числа второго календарного месяца, следующего за отчетным периодом (т.е. до 1 мая, 1 августа, 1 ноября т.д.) представляет о каждом работающем у него застрахованном лице следующие сведения, в которых указывает:

1) страховой номер индивидуального лицевого счета;

2) фамилию, имя и отчество;

3) дату приема на работу (для застрахованного лица, принятого на работу данным страхователем в течение отчетного периода) или дату заключения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

4) дату увольнения (для застрахованного лица, уволенного данным страхователем в течение отчетного периода) или дату прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

5) периоды деятельности, включаемые в стаж на соответствующих видах работ, определяемый особыми условиями труда, работой в районах Крайнего Севера и приравненных к ним местностях;

6) сумму заработка (дохода), на который начислялись страховые взносы обязательного пенсионного страхования;

7) сумму начисленных страховых взносов обязательного пенсионного страхования;

8) другие сведения, необходимые для правильного назначения трудовой пенсии;

9) суммы страховых взносов, уплаченных за застрахованное лицо, являющееся субъектом профессиональной пенсионной системы;

10) периоды трудовой деятельности, включаемые в профессиональный стаж застрахованного лица, являющегося субъектом профессиональной пенсионной системы.

Кроме того, работодатель представляет сведения о начисленных и уплаченных страховых взносах в целом за всех работающих у него застрахованных лиц. Такие сведения представляются 1 марта года, следующего за отчетным.

Сведения о включаемых в страховой стаж периодах работы и (или) иной деятельности, которые приобретены всеми работающими у данного работодателя застрахованными лицами до их регистрации в системе индивидуального (персонифицированного) учета, представляются в порядке, определяемом уполномоченным Правительством РФ федеральным органом исполнительной власти.

В случае ликвидации страхователя – юридического лица (прекращении физическим лицом деятельности в качестве индивидуального предпринимателя) он представляет названные сведения в течение месяца со дня утверждения промежуточного ликвидационного баланса (принятия решения о прекращении деятельности в качестве индивидуального предпринимателя), но не позднее дня представления в федеральный орган исполнительной власти, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов для государственной регистрации при ликвидации юридического лица (прекращении физическим лицом деятельности в качестве индивидуального предпринимателя).

При ликвидации страхователя – юридического лица (прекращении физическим лицом деятельности в качестве индивидуального предпринимателя) в случае применения процедуры банкротства указанные сведения представляются до представления в арбитражный суд отчета конкурсного управляющего о результатах проведения конкурсного производства в соответствии с Федеральным законом “О несостоятельности (банкротстве)”. Прекратившие свою деятельность адвокаты, частные нотариусы представляют названные сведения одновременно с заявлением о снятии их с регистрационного учета в качестве страхователей. Копия сведений о каждом работнике передается ему в этот же срок.

При выходе на трудовую пенсию указанные сведения работнику передаются в течение 10 календарных дней со дня подачи заявления.

В день увольнения работника или в день прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы, работодатель обязан передать ему названные сведения и получить от него письменное подтверждение о передаче (см. ст. 11 Федерального закона “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования”).

5. Работодатель вправе дополнять и уточнять переданные им сведения о работниках (застрахованных лицах) по согласованию с органом Пенсионного фонда РФ.

Он обязан контролировать соответствие реквизитов страхового свидетельства обязательного пенсионного страхования, выданного застрахованному лицу, реквизитам документов, удостоверяющих личность указанного лица, работающего у него по трудовому договору или заключившего договор гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы (ст. 15 Федерального закона “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования”).

Органы Пенсионного фонда РФ обязаны осуществлять контроль за правильностью представления работодателями сведений (ст. 16 Федерального закона “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования”).

6. В ряде случаев закон дает работодателю возможность запрашивать информацию, содержащую персональные данные работника. Например, он может обратиться:

– в учреждения медико-социальной экспертизы, если в отношении трудовой рекомендации, содержащейся в индивидуальной программе реабилитации инвалида, у него возникают вопросы о применении труда инвалида в данной организации;

– в медицинское учреждение, выдавшее беременной женщине заключение о переводе ее на другую работу, с целью выяснения, какой характер работы может быть ей предложен, и т.д.

7. Работодатель передает персональные данные работника: выборному профсоюзному органу в связи с необходимостью учесть его мотивированное мнение при увольнении работника – члена профсоюза (п. 2, 3, 5 ч. 1 ст.

 81 ТК); органу, уполномочившему работника на представительство при ведении коллективных переговоров, поскольку в период их ведения он не может быть без предварительного согласия этого органа подвергнут дисциплинарному взысканию, переведен на другую работу или уволен по инициативе работодателя (за исключением случаев расторжения трудового договора за совершение проступка, за который в соответствии с ТК, иными федеральными законами предусмотрено увольнение с работы).

Работодатель представляет проект приказа, а также документы, являющиеся основанием для расторжения трудового договора, наложения дисциплинарного взыскания, перевода на другую работу.

8. В некоторых ведомственных нормативных правовых актах закрепляются требования, соблюдение которых необходимо при использовании персональных данных работника.

Так, в Порядке аттестации лиц, осуществляющих профессиональную деятельность, связанную с оперативно-диспетчерским управлением в электроэнергетике, утвержденном приказом Минпромэнерго России от 20 июля 2006 г.

N 164*(120), указывается: передача персональных данных аттестуемого лица осуществляется диспетчерским центром с соблюдением требований действующего законодательства.

9. В некоторых соглашениях обращается внимание на то, что представители профсоюза могут знакомиться с документами, содержащими персональные сведения работника только с его согласия. Например, в тарифном соглашении от 31 марта 2009 г.

между Московским региональным союзом потребительской кооперации и Московским региональным профсоюзом работников потребительской кооперации и торгового предпринимательства на 2009-2011 годы закреплено, что представители профсоюза, осуществляя контроль за соблюдением трудового законодательства, беспрепятственно посещают организации, на которых работают члены профсоюза, знакомятся с документами, касающимися трудовых прав и интересов работников, в случаях, предусмотренных законом, иными нормативными актами с согласия работника (персональные данные), или администрации (документы, относящиеся к коммерческой и служебной информации).

10. Применение норм о передаче персональных данных работника на практике показало:

– расчетные и платежные ведомости, содержавшие сведения о заработной плате, премиях и иных выплатах членам правления акционерного общества, относятся к персональным данным и не могут быть сообщены третьей стороне, в том числе акционерам общества, без письменного согласия работника (постановление ФАС Московского округа от 19 января 2006 г., от 12 января 2006 г. N КГ-А40/13411-05);

– трудовой договор с генеральным директором общества содержит персональные данные работника – его доходы (размер заработной платы), поэтому он может быть представлен обществом акционерам только с согласия работника, являющегося стороной по этому договору (постановление ФАС Московского округа от 29 апреля 2010 г. N КА-А40/4062-10 по делу N А40-159104/09-93-1333);

– требование профсоюзного органа, обращенное к работодателю, о предоставлении списка работников, которые по результатам медицинского осмотра не могли выполнять работу, обусловленную трудовым договором, является незаконным.

Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, равно как в силу того, что информация о состоянии здоровья гражданина составляет врачебную тайну (определение Свердловского областного суда от 9 ноября 2006 г. по делу N 33-7868/2006).

Источник: http://base.garant.ru/59604336/6f1c6ca78c7f356c4f502d5a4aeec0e5/

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Подача в суд на работодателя за использование личных данных работника

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Закон для всех
Добавить комментарий